Megosztás a következőn keresztül:


Bérlők közötti szinkronizálás konfigurálása a PowerShell vagy a Microsoft Graph API használatával

Ez a cikk a bérlők közötti szinkronizálás Microsoft Graph PowerShell vagy Microsoft Graph API használatával történő konfigurálásához szükséges legfontosabb lépéseket ismerteti. Ha konfigurálva van, a Microsoft Entra ID automatikusan kiépítja és törli a B2B-felhasználókat a célbérlében. A Microsoft Entra Felügyeleti központ részletes lépéseit a bérlők közötti szinkronizálás konfigurálása című témakörben találja.

Diagram, amely a bérlők közötti szinkronizálást mutatja be a forrásbérltető és a célbérltető között.

Előfeltételek

A forrásbérlő ikonja.
Forrásbérl

A célbérlő ikonja.
Célbérl

1. lépés: Bejelentkezés a célbérbe

A célbérlő ikonja.
Célbérl

  1. Indítsa el a PowerShellt.

  2. Ha szükséges, telepítse a Microsoft Graph PowerShell SDK-t.

  3. Kérje le a forrás- és célbérlõk bérlőazonosítóját, és inicializálja a változókat.

    $SourceTenantId = "<SourceTenantId>"
    $TargetTenantId = "<TargetTenantId>"
    
  4. A Connect-MgGraph paranccsal jelentkezzen be a célbérbe, és járuljon hozzá a következő szükséges engedélyekhez.

    • Policy.Read.All
    • Policy.ReadWrite.CrossTenantAccess
    Connect-MgGraph -TenantId $TargetTenantId -Scopes "Policy.Read.All","Policy.ReadWrite.CrossTenantAccess"
    

2. lépés: Felhasználói szinkronizálás engedélyezése a célbérlelőben

A célbérlő ikonja.
Célbérl

  1. A célbérlőben a New-MgPolicyCrossTenantAccessPolicyPartner paranccsal hozzon létre egy új partnerkonfigurációt egy bérlőközi hozzáférési szabályzatban a célbérlő és a forrásbérlő között. Használja a forrás-bérlő azonosítóját a kérelemben.

    Ha megjelenik a hiba New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists, lehet, hogy már rendelkezik egy meglévő konfigurációval. További információ: Tünet – Új MgPolicyCrossTenantAccessPolicyPartner_Create hiba.

    $Params = @{
        TenantId = $SourceTenantId
    }
    New-MgPolicyCrossTenantAccessPolicyPartner -BodyParameter $Params | Format-List
    
    AutomaticUserConsentSettings : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInboundOutboundPolicyConfiguration
    B2BCollaborationInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
    B2BCollaborationOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
    B2BDirectConnectInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
    B2BDirectConnectOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
    IdentitySynchronization      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantIdentitySyncPolicyPartner
    InboundTrust                 : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyInboundTrust
    IsServiceProvider            :
    TenantId                     : <SourceTenantId>
    TenantRestrictions           : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyTenantRestrictions
    AdditionalProperties         : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity],
                                   [crossCloudMeetingConfiguration,
                                   System.Collections.Generic.Dictionary`2[System.String,System.Object]], [protectedContentSharing,
                                   System.Collections.Generic.Dictionary`2[System.String,System.Object]]}
    
  2. Az Invoke-MgGraphRequest paranccsal engedélyezheti a felhasználók szinkronizálását a célbérlében.

    Ha hibaüzenet jelenik Request_MultipleObjectsWithSameKeyValue meg, lehet, hogy már rendelkezik egy meglévő szabályzattal. További információ: Tünet – Request_MultipleObjectsWithSameKeyValue hiba.

    $Params = @{
        userSyncInbound = @{
            isSyncAllowed = $true
        }
    }
    Invoke-MgGraphRequest -Method PUT -Uri "https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/$SourceTenantId/identitySynchronization" -Body $Params
    
  3. A Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization paranccsal ellenőrizzeIsSyncAllowed, hogy Igaz értékre van-e állítva.

    (Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId).UserSyncInbound
    
    IsSyncAllowed
    -------------
    True
    

3. lépés: Meghívások automatikus beváltása a célbérlelőben

A célbérlő ikonja.
Célbérl

  1. A célbérlőben az Update-MgPolicyCrossTenantAccessPolicyPartner paranccsal automatikusan beválthatja a meghívókat, és letilthatja a bejövő hozzáférésre vonatkozó hozzájárulási kéréseket.

    $AutomaticUserConsentSettings = @{
        "InboundAllowed"="True"
    }
    Update-MgPolicyCrossTenantAccessPolicyPartner -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId -AutomaticUserConsentSettings $AutomaticUserConsentSettings
    

4. lépés: Bejelentkezés a forrásbérbe

A forrásbérlő ikonja.
Forrásbérl

  1. Indítsa el a PowerShell-példányt.

  2. Kérje le a forrás- és célbérlõk bérlőazonosítóját, és inicializálja a változókat.

    $SourceTenantId = "<SourceTenantId>"
    $TargetTenantId = "<TargetTenantId>"
    
  3. A Connect-MgGraph paranccsal jelentkezzen be a forrásbérbe, és járuljon hozzá a következő szükséges engedélyekhez.

    • Policy.Read.All
    • Policy.ReadWrite.CrossTenantAccess
    • Application.ReadWrite.All
    • Directory.ReadWrite.All
    • AuditLog.Read.All
    Connect-MgGraph -TenantId $SourceTenantId -Scopes "Policy.Read.All","Policy.ReadWrite.CrossTenantAccess","Application.ReadWrite.All","Directory.ReadWrite.All","AuditLog.Read.All"
    

5. lépés: Meghívások automatikus beváltása a forrásbérlében

A forrásbérlő ikonja.
Forrásbérl

  1. A forrásbérlőben a New-MgPolicyCrossTenantAccessPolicyPartner paranccsal hozzon létre egy új partnerkonfigurációt egy bérlőközi hozzáférési szabályzatban a forrásbérlő és a célbérlő között. Használja a cél bérlőazonosítót a kérelemben.

    Ha megjelenik a hiba New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists, lehet, hogy már rendelkezik egy meglévő konfigurációval. További információ: Tünet – Új MgPolicyCrossTenantAccessPolicyPartner_Create hiba.

    $Params = @{
        TenantId = $TargetTenantId
    }
    New-MgPolicyCrossTenantAccessPolicyPartner -BodyParameter $Params | Format-List
    
    AutomaticUserConsentSettings : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInboundOutboundPolicyConfiguration
    B2BCollaborationInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
    B2BCollaborationOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
    B2BDirectConnectInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
    B2BDirectConnectOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
    IdentitySynchronization      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantIdentitySyncPolicyPartner
    InboundTrust                 : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyInboundTrust
    IsServiceProvider            :
    TenantId                     : <TargetTenantId>
    TenantRestrictions           : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyTenantRestrictions
    AdditionalProperties         : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity],
                                   [crossCloudMeetingConfiguration,
                                   System.Collections.Generic.Dictionary`2[System.String,System.Object]], [protectedContentSharing,
                                   System.Collections.Generic.Dictionary`2[System.String,System.Object]]}
    
    
  2. Az Update-MgPolicyCrossTenantAccessPolicyPartner paranccsal automatikusan beválthatja a meghívókat, és letilthatja a kimenő hozzáférésre vonatkozó hozzájárulási kéréseket.

    $AutomaticUserConsentSettings = @{
        "OutboundAllowed"="True"
    }
    Update-MgPolicyCrossTenantAccessPolicyPartner -CrossTenantAccessPolicyConfigurationPartnerTenantId $TargetTenantId -AutomaticUserConsentSettings $AutomaticUserConsentSettings
    

6. lépés: Konfigurációs alkalmazás létrehozása a forrásbérlében

A forrásbérlő ikonja.
Forrásbérl

  1. A forrásbérlőben az Invoke-MgInstantiateApplicationTemplate paranccsal vegyen fel egy konfigurációs alkalmazáspéldányt a Microsoft Entra alkalmazáskatalógusából a bérlőbe.

    Invoke-MgInstantiateApplicationTemplate -ApplicationTemplateId "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7" -DisplayName "Fabrikam"
    
  2. A Get-MgServicePrincipal paranccsal kérje le a szolgáltatásnév azonosítóját és az alkalmazásszerepkör-azonosítót.

    Get-MgServicePrincipal -Filter "DisplayName eq 'Fabrikam'" | Format-List
    
    AccountEnabled                      : True
    AddIns                              : {}
    AlternativeNames                    : {}
    AppDescription                      :
    AppDisplayName                      : Fabrikam
    AppId                               : <AppId>
    AppManagementPolicies               :
    AppOwnerOrganizationId              : <AppOwnerOrganizationId>
    AppRoleAssignedTo                   :
    AppRoleAssignmentRequired           : True
    AppRoleAssignments                  :
    AppRoles                            : {<AppRoleId>}
    ApplicationTemplateId               : 518e5f48-1fc8-4c48-9387-9fdf28b0dfe7
    ClaimsMappingPolicies               :
    CreatedObjects                      :
    CustomSecurityAttributes            : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
    DelegatedPermissionClassifications  :
    DeletedDateTime                     :
    Description                         :
    DisabledByMicrosoftStatus           :
    DisplayName                         : Fabrikam
    Endpoints                           :
    ErrorUrl                            :
    FederatedIdentityCredentials        :
    HomeRealmDiscoveryPolicies          :
    Homepage                            : https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z
    Id                                  : <ServicePrincipalId>
    Info                                : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInformationalUrl
    KeyCredentials                      : {}
    LicenseDetails                      :
    
    ...
    
  3. Inicializáljon egy változót a szolgáltatásnév-azonosítóhoz.

    Ügyeljen arra, hogy az alkalmazásazonosító helyett a szolgáltatásnév-azonosítót használja.

    $ServicePrincipalId = "<ServicePrincipalId>"
    
  4. Inicializáljon egy változót az alkalmazásszerepkör-azonosítóhoz.

    $AppRoleId= "<AppRoleId>"
    

7. lépés: A célbérlelőhöz való kapcsolat tesztelése

A forrásbérlő ikonja.
Forrásbérl

  1. A forrásbérlében az Invoke-MgGraphRequest paranccsal tesztelje a kapcsolatot a célbérlőhöz, és ellenőrizze a hitelesítő adatokat.

    $Params = @{
        "useSavedCredentials" = $false
        "templateId" = "Azure2Azure"
        "credentials" = @(
            @{
                "key" = "CompanyId"
                "value" = $TargetTenantId
            }
            @{
                "key" = "AuthenticationType"
                "value" = "SyncPolicy"
            }
        )
    }
    Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipalId/synchronization/jobs/validateCredentials" -Body $Params
    

8. lépés: Kiépítési feladat létrehozása a forrásbérlében

A forrásbérlő ikonja.
Forrásbérl

A forrásbérlében a kiépítés engedélyezéséhez hozzon létre egy kiépítési feladatot.

  1. Határozza meg a használni kívánt szinkronizálási sablont, például Azure2Azure.

    Egy sablon előre konfigurált szinkronizálási beállításokkal rendelkezik.

  2. A forrásbérlében a New-MgServicePrincipalSynchronizationJob paranccsal hozzon létre egy sablonon alapuló kiépítési feladatot.

    New-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -TemplateId "Azure2Azure" | Format-List
    
    Id                         : <JobId>
    Schedule                   : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchedule
    Schema                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchema
    Status                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationStatus
    SynchronizationJobSettings : {AzureIngestionAttributeOptimization, LookaheadQueryEnabled}
    TemplateId                 : Azure2Azure
    AdditionalProperties       : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('<ServicePrincipalId>')/synchro
                                 nization/jobs/$entity]}
    
  3. Inicializáljon egy változót a feladatazonosítóhoz.

    $JobId = "<JobId>"
    

9. lépés: Hitelesítő adatok mentése

A forrásbérlő ikonja.
Forrásbérl

  1. A forrásbérlében az Invoke-MgGraphRequest paranccsal mentse a hitelesítő adatait.

    $Params = @{
        "value" = @(
            @{
                "key" = "AuthenticationType"
                "value" = "SyncPolicy"
            }
            @{
                "key" = "CompanyId"
                "value" = $TargetTenantId
            }
        )
    }
    Invoke-MgGraphRequest -Method PUT -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipalId/synchronization/secrets" -Body $Params
    

10. lépés: Felhasználó hozzárendelése a konfigurációhoz

A forrásbérlő ikonja.
Forrásbérl

A bérlők közötti szinkronizálás működéséhez legalább egy belső felhasználót hozzá kell rendelni a konfigurációhoz.

  1. A forrásbérlőben a New-MgServicePrincipalAppRoleAssignedTo paranccsal rendeljen hozzá egy belső felhasználót a konfigurációhoz.

    $Params = @{
        PrincipalId = "<PrincipalId>"
        ResourceId = $ServicePrincipalId
        AppRoleId = $AppRoleId
    }
    New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $ServicePrincipalId -BodyParameter $Params | Format-List
    
    AppRoleId            : <AppRoleId>
    CreatedDateTime      : 7/31/2023 10:27:12 PM
    DeletedDateTime      :
    Id                   : <Id>
    PrincipalDisplayName : User1
    PrincipalId          : <PrincipalId>
    PrincipalType        : User
    ResourceDisplayName  : Fabrikam
    ResourceId           : <ServicePrincipalId>
    AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#appRoleAssignments/$entity]}
    

11. lépés: Igény szerinti kiépítés tesztelése

A forrásbérlő ikonja.
Forrásbérl

Most, hogy már rendelkezik egy konfigurációval, tesztelheti az igény szerinti kiépítést az egyik felhasználójával.

  1. A forrásbérlében a Get-MgServicePrincipalSynchronizationJobSchema paranccsal kérje le a sémaszabály azonosítóját.

    $SynchronizationSchema = Get-MgServicePrincipalSynchronizationJobSchema -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId
    $SynchronizationSchema.SynchronizationRules | Format-List
    
    ContainerFilter      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphContainerFilter
    Editable             : True
    GroupFilter          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphGroupFilter
    Id                   : <RuleId>
    Metadata             : {defaultSourceObjectMappings, supportsProvisionOnDemand}
    Name                 : USER_INBOUND_USER
    ObjectMappings       : {Provision Azure Active Directory Users, , , ...}
    Priority             : 1
    SourceDirectoryName  : Azure Active Directory
    TargetDirectoryName  : Azure Active Directory (target tenant)
    AdditionalProperties : {}
    
  2. Inicializáljon egy változót a szabályazonosítóhoz.

    $RuleId = "<RuleId>"
    
  3. A New-MgServicePrincipalSynchronizationJobOnDemand paranccsal igény szerint kiépíteni egy tesztfelhasználót.

    $Params = @{
        Parameters = @(
            @{
                Subjects = @(
                    @{
                        ObjectId = "<UserObjectId>"
                        ObjectTypeName = "User"
                    }
                )
                RuleId = $RuleId
            }
        )
    }
    New-MgServicePrincipalSynchronizationJobOnDemand -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId -BodyParameter $Params | Format-List
    
    Key                  : Microsoft.Identity.Health.CPP.Common.DataContracts.SyncFabric.StatusInfo
    Value                : [{"provisioningSteps":[{"name":"EntryImport","type":"Import","status":"Success","description":"Retrieved User
                           'user1@fabrikam.com' from Azure Active Directory","timestamp":"2023-07-31T22:31:15.9116590Z","details":{"objectId":
                           "<UserObjectId>","accountEnabled":"True","displayName":"User1","mailNickname":"user1","userPrincipalName":"use
                           ...
    AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.stringKeyStringValuePair]}
    

12. lépés: A kiépítési feladat indítása

A forrásbérlő ikonja.
Forrásbérl

  1. Most, hogy a kiépítési feladat konfigurálva lett, a forrásbérlében használja a Start-MgServicePrincipalSynchronizationJob parancsot a kiépítési feladat elindításához.

    Start-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId
    

13. lépés: A kiépítés monitorozása

A forrásbérlő ikonja.
Forrásbérl

  1. Most, hogy a kiépítési feladat fut a forrásbérlőben, a Get-MgServicePrincipalSynchronizationJob paranccsal monitorozza az aktuális kiépítési ciklus előrehaladását, valamint az aktuális statisztikákat, például a célrendszerben létrehozott felhasználók és csoportok számát.

    Get-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId | Format-List
    
    Id                         : <JobId>
    Schedule                   : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchedule
    Schema                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchema
    Status                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationStatus
    SynchronizationJobSettings : {AzureIngestionAttributeOptimization, LookaheadQueryEnabled}
    TemplateId                 : Azure2Azure
    AdditionalProperties       : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('<ServicePrincipalId>')/synchro
                                 nization/jobs/$entity]}
    
  2. A kiépítési feladat állapotának monitorozása mellett a Get-MgAuditLogProvisioning paranccsal lekérheti a kiépítési naplókat, és lekérheti az összes előforduló kiépítési eseményt. Például lekérdezhet egy adott felhasználót, és megállapíthatja, hogy sikeresen kiépítették-e őket.

    Get-MgAuditLogDirectoryAudit | Select -First 10 | Format-List
    
    ActivityDateTime     : 7/31/2023 12:08:17 AM
    ActivityDisplayName  : Export
    AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
    Category             : ProvisioningManagement
    CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
    Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778479
    InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
    LoggedByService      : Account Provisioning
    OperationType        :
    Result               : success
    ResultReason         : User 'user2@fabrikam.com' was created in Azure Active Directory (target tenant)
    TargetResources      : {<ServicePrincipalId>, }
    AdditionalProperties : {}
    
    ActivityDateTime     : 7/31/2023 12:08:17 AM
    ActivityDisplayName  : Export
    AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
    Category             : ProvisioningManagement
    CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
    Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778264
    InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
    LoggedByService      : Account Provisioning
    OperationType        :
    Result               : success
    ResultReason         : User 'user2@fabrikam.com' was updated in Azure Active Directory (target tenant)
    TargetResources      : {<ServicePrincipalId>, }
    AdditionalProperties : {}
    
    ActivityDateTime     : 7/31/2023 12:08:14 AM
    ActivityDisplayName  : Synchronization rule action
    AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
    Category             : ProvisioningManagement
    CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
    Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778395
    InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
    LoggedByService      : Account Provisioning
    OperationType        :
    Result               : success
    ResultReason         : User 'user2@fabrikam.com' will be created in Azure Active Directory (target tenant) (User is active and assigned
                           in Azure Active Directory, but no matching User was found in Azure Active Directory (target tenant))
    TargetResources      : {<ServicePrincipalId>, }
    AdditionalProperties : {}
    

Hibaelhárítási tippek

Hibajelenség – Nem megfelelő jogosultságokkal kapcsolatos hiba

Amikor megpróbál végrehajtani egy műveletet, a következőhöz hasonló hibaüzenet jelenik meg:

code: Authorization_RequestDenied
message: Insufficient privileges to complete the operation.

Ok

Vagy a bejelentkezett felhasználó nem rendelkezik megfelelő jogosultságokkal, vagy hozzá kell adnia a szükséges engedélyek egyikéhez.

Megoldás

  1. Győződjön meg arról, hogy a szükséges szerepkörök vannak hozzárendelve. Tekintse meg a cikk korábbi előfeltételeit .

  2. Amikor a Connect-MgGraph használatával jelentkezik be, győződjön meg arról, hogy megadja a szükséges hatóköröket. Lásd : 1. lépés: Bejelentkezés a célbérbe és 4. lépés: Jelentkezzen be a forrásbérlelőbe a cikk korábbi részében.

Hiba – Új MgPolicyCrossTenantAccessPolicyPartner_Create hiba

Amikor új partnerkonfigurációt próbál létrehozni, a következőhöz hasonló hibaüzenet jelenik meg:

New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists.

Ok

Valószínűleg olyan konfigurációt vagy objektumot próbál létrehozni, amely már létezik, valószínűleg egy korábbi konfigurációból.

Megoldás

  1. Ellenőrizze a szintaxist, és hogy a megfelelő bérlőazonosítót használja-e.

  2. A Get-MgPolicyCrossTenantAccessPolicyPartner paranccsal listázhatja a meglévő objektumot.

  3. Ha rendelkezik egy meglévő objektummal, előfordulhat, hogy frissítenie kell az Update-MgPolicyCrossTenantAccessPolicyPartner használatával

Hiba – Request_MultipleObjectsWithSameKeyValue hiba

Amikor megpróbálja engedélyezni a felhasználói szinkronizálást, a következőhöz hasonló hibaüzenet jelenik meg:

Invoke-MgGraphRequest: PUT https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<SourceTenantId>/identitySynchronization
HTTP/1.1 409 Conflict
...
{"error":{"code":"Request_MultipleObjectsWithSameKeyValue","message":"A conflicting object with one or more of the specified property values is present in the directory.","details":[{"code":"ConflictingObjects","message":"A conflicting object with one or more of the specified property values is present in the directory.", ... }}}

Ok

Valószínűleg olyan szabályzatot próbál létrehozni, amely már létezik, valószínűleg egy korábbi konfigurációból.

Megoldás

  1. Ellenőrizze a szintaxist, és hogy a megfelelő bérlőazonosítót használja-e.

  2. A beállítás listázásához IsSyncAllowed használja a Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization parancsot.

    (Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId).UserSyncInbound
    
  3. Ha rendelkezik meglévő szabályzattal, előfordulhat, hogy a felhasználó szinkronizálásának engedélyezéséhez a Set-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization paranccsal kell frissítenie.

    $Params = @{
        userSyncInbound = @{
            isSyncAllowed = $true
        }
    }
    Set-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId -BodyParameter $Params
    

Következő lépések